bg

Сигурност в gottrix

gottrix.app обработва файлове на 100% локално във вашия браузър: кодът за преобразуване няма достъп до никакъв външен сървър (наложено от Content-Security-Policy), затова качването е технически невъзможно. Доставянето става чрез TLS 1.2/1.3 с HSTS (2 години), пълен набор от заглавия за сигурност и хостинг в Hetzner, Германия. Всяко твърдение на тази страница можете да проверите сами.

Архитектура с нулево качване: сигурност чрез премахване

Обичайните онлайн конвертори качват файла ви на сървър, обработват го там и изпращат резултата обратно - всяка от тези стъпки е повърхност за атака. gottrix премахва напълно тази критична стъпка: двигателите (за изображения, PDF, аудио, видео и още) работят като WebAssembly директно във вашия браузър. Това, което никога не се предава, не може да бъде прихванато по пътя, не може да изтече от никой сървър и не може да бъде поискано от никого.

Това се налага чрез архитектура, а не чрез политика, с две строго разделени зони: кодът, който докосва байтовете на файла ви (двигатели и уеб работници), е ограничен до собствения си произход от Content-Security-Policy и не съдържа никакви мрежови извиквания - автоматичен тест проверява това при всяка компилация. Слоят на страницата, който никога не вижда файловете ви, може да достига само до документиран списък с разрешени домейни за анализ.

  • Двигатели и работници: 0 мрежови примитиви, никакви външни произходи - проверявано статично при всяка компилация.
  • Слой на страницата: външни заявки само към документирания списък с разрешени домейни за анализ, никога байтове на файлове.
  • Няма резервен вариант с качване: ако локалната обработка се провали, получавате честно съобщение за грешка - никога заобикаляне през сървър.
  • Доказателство офлайн: след първото ви посещение инструментите продължават да работят в самолетен режим - най-силното доказателство, че нищо не се изпраща.

Пренос: TLS и HSTS

Уебсайтът се доставя изключително чрез HTTPS - TLS 1.2 и 1.3 със съвременни шифрови комплекти и автоматично управлявани сертификати. HTTP Strict Transport Security (HSTS) е зададен с max-age=63072000 (2 години), включително поддомейни: така браузърът сам налага HTTPS при всяко бъдещо посещение. За яснота: съдържанието на файловете ви никога не минава през тази връзка, защото никога не напуска устройството ви - криптирането на преноса защитава доставянето на самия сайт.

HTTP заглавия за сигурност

Всеки отговор от сървъра носи пълен набор от заглавия за сигурност. Стойностите са конфигурация, а не пожелание: автоматичен тест прекратява всяко разгръщане, при което някое от тях липсва или се различава.

HTTP заглавия за сигурност
Заглавие и стойностЕфект
Strict-Transport-Security: max-age=63072000; includeSubDomainsНалага HTTPS за 2 години, включително всички поддомейни.
X-Frame-Options: DENYЗабранява вграждането на сайта във външни рамки (защита срещу clickjacking, допълнително гарантирана чрез frame-ancestors в CSP).
X-Content-Type-Options: nosniffПречи на браузъра да отгатва типове съдържание и да изпълнява файлове като скриптове.
Referrer-Policy: strict-origin-when-cross-originПредава на външни сайтове най-много произхода, никога пълни URL адреси.
Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ...Деактивира 12 API за устройства и сензори (камера, микрофон, местоположение, USB и други), от които сайтът няма нужда; разрешен остава само режимът на цял екран за собствения произход.
Cross-Origin-Opener-Policy: same-originИзолира прозореца на браузъра от външни сайтове, които са го отворили.

Пълният текст на Content-Security-Policy

CSP е техническата ключалка зад гаранцията за нулево качване. Тя се генерира от единствен изходен файл и се показва тук на живо точно от този източник - всички 15 директиви, без съкращения:

  • default-src 'self'
  • script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.com
  • style-src 'self' 'unsafe-inline'
  • img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • media-src 'self' blob:
  • font-src 'self'
  • connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • worker-src 'self' blob:
  • frame-src 'self' blob: https://challenges.cloudflare.com
  • child-src 'self' blob:
  • object-src 'none'
  • base-uri 'none'
  • form-action 'self'
  • frame-ancestors 'none'
  • upgrade-insecure-requests

Google CSP Evaluator (проверено на 09.07.2026 г.): 0 констатации с висока степен на сериозност. Освен собствения произход, connect-src разрешава само документирания списък с разрешени домейни за анализ на слоя на страницата - метаданни, никога съдържание на файлове.

Независима проверка

Планирани са три външни проверки, които ще се извършат срещу действащия домейн при публичното пускане: SSL Labs (конфигурация на TLS), Mozilla Observatory (състояние на HTTP сигурността) и securityheaders.com (пълнота на заглавията). Резултатите се показват и свързват едва след като сканиранията действително са извършени - gottrix принципно никога не показва непроверени печати или оценки, и това се налага от автоматичен тест при всяка компилация.

Хостинг и местоположение на данните

Изходните сървъри се управляват от Hetzner Online GmbH в Германия и се подчиняват на ОРЗД. На тях се намира само статичният уебсайт: няма потребителски акаунти, няма съдържание на файлове, няма база данни за съдържание. Логовете на сървъра съдържат само технически необходими данни за достъп с кратък срок на съхранение; съществува договор за обработка на данни с Hetzner. Тъй като обработката на файлове се извършва локално във вашия браузър, съдържанието на файловете ви така или иначе никога не достига до това местоположение.

Статистика и съгласие

Анонимната статистика за употребата (Google Analytics 4 с Consent Mode v2 Advanced) стартира с всички сигнали, зададени на отхвърлено: без вашето съгласие не се задава никакъв статистически бисквитка и не се създава никакъв идентификатор. При съгласие се измерват най-много прегледите на страници и идентификаторът на използвания инструмент - никога имена на файлове, размери на файлове или съдържание на файлове. Всички подробности и правни основания са в политиката за поверителност.

Прочетете политиката за поверителност

Често задавани въпроси за сигурността

Сигурен ли е gottrix.app?

Сигурността му се основава на архитектурата, а не на обещания: файловете се обработват изключително локално във вашия браузър и никога не се предават на сървър - строга Content-Security-Policy забранява на кода за преобразуване всякаква външна връзка. Към това се добавят TLS 1.2/1.3 с HSTS, пълен набор от заглавия за сигурност и хостинг в Германия. Всяка от тези точки можете сами да проверите в изходния код, в мрежовия раздел или чрез теста в самолетен режим.

Качват ли се или се съхраняват ли моите файлове някъде?

Не. Преобразуването се извършва изцяло в паметта на вашия браузър; не съществува никаква крайна точка за качване и никакво съхранение на страна на сървъра за съдържанието на файловете. Content-Security-Policy отказва на кода на двигателите и работниците всякаква връзка с външни сървъри, и автоматичен тест проверява това при всяка компилация. Затворете раздела и данните изчезват - няма нищо, което да трябва да се изтрива на сървъра.

Какво криптиране използва gottrix.app?

Уебсайтът се доставя изключително чрез HTTPS с TLS 1.2 и 1.3 и съвременни шифрови комплекти; HSTS налага HTTPS за две години, включително поддомейни. Съдържанието на файловете ви само по себе си никога не минава през никаква връзка, защото никога не напуска устройството ви - криптирането на преноса защитава доставянето на сайта и незадължителните метаданни за употреба, базирани на съгласие.

Къде се хостват сървърите?

Изходните сървъри се управляват от Hetzner Online GmbH в Германия, съгласно ОРЗД. На тях се намира само статичният уебсайт: няма потребителски акаунти, няма съдържание на файлове, няма база данни за съдържание. Тъй като обработката се извършва локално във вашия браузър, местоположението на сървъра е без значение за съдържанието на файловете ви - то никога не го достига.

Как мога сам да проверя тези твърдения за сигурност?

Три начина, които не изискват специални знания: тестът в самолетен режим (отворете инструмент, прекъснете връзката, преобразувайте - продължава да работи), мрежовият раздел на инструментите за разработчици (F12: няма заявка за файл по време на преобразуването) и заглавията на отговора, които всеки браузър може да покаже. Ръководството стъпка по стъпка е на страницата с доказателства; при публичното пускане ще се добавят външни сканирания от SSL Labs, Mozilla Observatory и securityheaders.com.

Какви данни изобщо събира gottrix?

Без вашето съгласие: никакви статистически бисквитки и никакви идентификатори, само технически необходими логове на сървъра с кратък срок на съхранение. При съгласие Google Analytics 4 измерва обобщена употреба, например прегледи на страници и идентификатора на използвания инструмент; имена на файлове, размери на файлове и съдържание на файлове никога не се записват. Пълните правни основания и начинът за оттегляне на съгласието са в политиката за поверителност.

Как се проверява това